锐捷网络关于安全产品部分型号版本存在密码泄露漏洞的通告

近日，CNVD报告（信息编号：CNVD-C-2019-102589）锐捷部分安全产品存在信息泄露漏洞，目前锐捷网络已经对其它产品线进行安全自查，截至目前，暂未发现此漏洞。详细情况如下： 

一、漏洞说明

RG-UAC产品早期软件版本在web管理页面代码中发现密码hash，存在设备管理密码泄露的风险，对设备正常运行带来安全风险。

二、影响范围

1、涉及软件版本：

目前仅RG-UAC产品在2018年12月之前发布的版本（版本号后缀日期为准）存在此问题，32位平台版本RG-UAC_V1.0-R1.8.2.p5_20181229与64位平台版本RG-UAC_V1.0-R2.1.3.p1_20181207及之后版本未发现此问题，请放心使用。

2、涉及产品型号：

三、漏洞定级

该风险仅在设备web页面可访问的条件下发生。若http登录访问被阻止，则不存在该风险。
按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义，此漏洞等级为“低危”。即：可远程操作、利用方式复杂，不易形成大规模攻击。

四、漏洞规避方案

设置管理主机，禁止非设备管理用户登录设备web系统，进入菜单“系统配置”-“网管策略”；添加设备管理策略。

五、漏洞解决方案

下载UAC产品最新版本后，对设备进行系统升级，版本获取链接：http://www.ruijie.com.cn/fw/rj/

六、后续改善计划

锐捷网络会持续进行此漏洞的升级修复，第一时间跟进最新动态。建议广大用户采纳官网下载软件版本的方式进行漏洞修复，同时，请您关注锐捷网络的官网、官微的公告内容，有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷睿易咨询热线：4001-000-078

锐捷网络官网：www.ruijie.com.cn